よむ、つかう、まなぶ。
【資料3】意見募集及び調査の結果を踏まえた「医療情報システムの安全管理に関するガイドライン第5.2版(案)」 (38 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
6.9. 情報及び情報機器の持ち出し並びに外部利用について
B.考え方
情報又は情報機器の持ち出しについては組織的な対策が必要となり、組織として情報又
は情報機器の持ち出しをどのように取り扱うかという方針が必要である。また、小規模な医
療機関等であって、組織的な情報管理体制を行っていない場合でも、可搬媒体や情報機器を
用いた情報の持ち出しは想定されることから、リスク分析を実施し、対策を検討しておくこ
とが必要である。
この際留意すべきは、可搬媒体や情報機器による情報の持ち出し特有のリスクである。情
報を持ち出す場合は、可搬媒体や情報機器の盗難、紛失、置き忘れ等の人による不注意、過
誤のリスクの方が、医療機関等に設置されている医療情報システム自体の脆弱性等のリス
クよりも相対的に大きくなる。
したがって、情報又は情報機器の持ち出しについては、組織的な方針を定めた上で、人的
安全対策を施す必要がある。
ノートパソコンや、タブレット、スマートフォン等を用いて医療情報システムにログイン
する場合においても、二要素認証を用いることが望ましい。利用者の識別・認証に係る説明
や留意点については、6.5 章の記載を参照すること。
また、以降のガイドラインと内容は重複するが、タブレット PC 及びスマートフォンを用
いる場合の守るべき事項をまとめると以下のようになる。
・
機器自体の管理を、運用管理規程を定めて実施すること。盗難・紛失を早期に発見
することはもちろんのこと、不要なアプリの存在や、パスワードの設定が適切であ
ること等を定期的に確認しなければならない。
・
端末自体の起動パスワード等の設定は必須であり、パスワードを用いる場合、パス
ワードは容易に推定されることがないものとし、かつ定期的な変更を行わなければ
ならない。
・
端末内に患者等の情報が保存されている場合、あるいはアクセス先に存在する患者
等の情報を表示や編集できる場合は、その機能を持つアプリ自体にもパスワードを
設定し、端末内に情報が存在する場合は暗号化しなければならない。
・
業務に用いる機能に影響を与えないために、必要最小限のアプリ以外はインストー
ルしないこと。OS のメモリ管理機能で、メモリを隔離して他のアプリの影響を受け
ないアプリが構築可能な場合は、確実にメモリ隔離ができることを確認することが
必要である。
・
ネットワークは 6.11 章の基準を満たしたもの以外は利用しないこと。特に公衆無線
LAN はリスクが大きいため、利用できない。ただし、非常時等でやむを得ず公衆無線
LAN しか利用できない環境である場合に限り、6.11 章の基準に則った利用を認める。
また、自動的に公衆無線 LAN に接続してしまう端末も存在するので、業務アプリ起
34
B.考え方
情報又は情報機器の持ち出しについては組織的な対策が必要となり、組織として情報又
は情報機器の持ち出しをどのように取り扱うかという方針が必要である。また、小規模な医
療機関等であって、組織的な情報管理体制を行っていない場合でも、可搬媒体や情報機器を
用いた情報の持ち出しは想定されることから、リスク分析を実施し、対策を検討しておくこ
とが必要である。
この際留意すべきは、可搬媒体や情報機器による情報の持ち出し特有のリスクである。情
報を持ち出す場合は、可搬媒体や情報機器の盗難、紛失、置き忘れ等の人による不注意、過
誤のリスクの方が、医療機関等に設置されている医療情報システム自体の脆弱性等のリス
クよりも相対的に大きくなる。
したがって、情報又は情報機器の持ち出しについては、組織的な方針を定めた上で、人的
安全対策を施す必要がある。
ノートパソコンや、タブレット、スマートフォン等を用いて医療情報システムにログイン
する場合においても、二要素認証を用いることが望ましい。利用者の識別・認証に係る説明
や留意点については、6.5 章の記載を参照すること。
また、以降のガイドラインと内容は重複するが、タブレット PC 及びスマートフォンを用
いる場合の守るべき事項をまとめると以下のようになる。
・
機器自体の管理を、運用管理規程を定めて実施すること。盗難・紛失を早期に発見
することはもちろんのこと、不要なアプリの存在や、パスワードの設定が適切であ
ること等を定期的に確認しなければならない。
・
端末自体の起動パスワード等の設定は必須であり、パスワードを用いる場合、パス
ワードは容易に推定されることがないものとし、かつ定期的な変更を行わなければ
ならない。
・
端末内に患者等の情報が保存されている場合、あるいはアクセス先に存在する患者
等の情報を表示や編集できる場合は、その機能を持つアプリ自体にもパスワードを
設定し、端末内に情報が存在する場合は暗号化しなければならない。
・
業務に用いる機能に影響を与えないために、必要最小限のアプリ以外はインストー
ルしないこと。OS のメモリ管理機能で、メモリを隔離して他のアプリの影響を受け
ないアプリが構築可能な場合は、確実にメモリ隔離ができることを確認することが
必要である。
・
ネットワークは 6.11 章の基準を満たしたもの以外は利用しないこと。特に公衆無線
LAN はリスクが大きいため、利用できない。ただし、非常時等でやむを得ず公衆無線
LAN しか利用できない環境である場合に限り、6.11 章の基準に則った利用を認める。
また、自動的に公衆無線 LAN に接続してしまう端末も存在するので、業務アプリ起
34